制器为企业用户提供云访问服务。员工可采用原有的企业证书登录安全的门户网站，接受对所有已有授权应用和资源的访问。通过单点登录去除通过不同位置、使用不同证书访问云服务的需求，改善了终端用户生产力和密码管理。网关控制还提供了一种与企业安全政策完全一致的云服务快速提供框架，让IT人员能够以一种及时的方式为企业工作人员提供所需的资源，减少了企业中流氓IT事件的发生。用户可采用所分配的企业证书登录安全门户网站。对于企业网络上的用户，IT人员可以选择启用或禁用用户的SSL加密；对于远程用户，IT人员要求所有连接均启用SSL加密。安全防护采用了双因素认证、基于身份的访问控制、应用级授权、全面审计以及一款集成化数据包检测防火墙，提供了对存储中数据和传输中数据的安全保护。
所有应用程序的安全必须有所保障，它们的使用必须有因可循；所有用户，不论是本地的还是远程的，有线的还是无线的，必须先通过认证并确保安全后才可访问已授权应用。网关接入控制器不仅提供了一种从企业至“云”的网关，而且还为企业安全和生产力统一提供方式奠定了良好基础。
目前通常的访问控制策略有三种：自主访问控制、强制访问控制和基于角色的访问控制。
自主访问控制是根据访问者的身份和授权来决定访问模式。主体访问者对访问的控制有一定权利。但正是这种权利使得信息在移动过
411
f个人收集整理，勿做商业用途
程中其访问权限关系会被改变。如用户A可以将其对客体目标O的访问权限传递给用户B，从而使不具备对O访问权限的B也可以访问O，这样做很容易产生安全漏洞，所以自主访问控制的安全级别很低。
强制访问控制是将主体和客体分级，然后根据主体和客体的级别标记来决定访问模式，如可以分为绝密级、机密极、秘密级、无密级等。这样就可以利用上读下写来保证数据完整性，利用下读上写来保证数据的保密性，并且通过这种梯度安全标签实现信息的单向流通。但这种强制访问控制的实现工作量太大，管理不便。
基于角色的访问控制，访问者的权限在访问过程中是变化的。有一组用户集和权限集，在特定的环境里，某一用户被分派一定的权限来访问网络资源；在另外一种环境里，这个用户又可以被分派不同的权限来访问另外的网络资源。这种方式更便于授权管理、角色划分、职责分担、目标分级和赋予最小特权，这也是本项目拟采用的基本访问控制策略。
为了保证云接入的安全性的基础上实现云接入的可扩展性，本项目拟实现一个基于微内r